linux的隱藏許可權

chattr +i /sec/Classified

使文件不能被修改與刪除，對passwd、shadow、group、gshadow等重要文件可設置該屬性，-i移除屬性。

chattr +a /sec/Classified 

使文件不能被修改與刪除，但可以追加內容，對重要的日誌文件可以設置該屬性，-a移除屬性。

lsattr /sec/Classified    #顯示隱藏屬性

chattr +i 示例

chattr +a 示例

linux的三種特殊許可權

1、SBIT(Sticky Bit)：只對目錄有效，一個目錄如果有SBIT許可權，那麼該目錄下的文件，只有該文件的擁有者和root才能刪除，如/tmp目錄，它的許可權是：

tmp目錄許可權

t出現在了其他人的x許可權位置，表示該目錄有SBIT許可權。該目錄其他人具有rw許可權，理論上該目錄下的文件任何人都可以刪除。但由於SBIT許可權的存在，所以該目錄的文件只有擁有者和root才能刪除或移動。以tmp目錄下的file1文件為例：

file1文件許可權

file1文件的擁有者是sindy，那麼該文件只能被root和sindy這兩個用戶刪除。

參考命令：

chmod o+t  /share    #為share目錄賦於SBIT許可權，在該目錄下用戶只能刪除自己創建的文件
chmod o-t  /share    #取消SBIT許可權 

2、SUID(Set UID)：只對二進位文件有效，一個文件如果有SUID許可權，那麼其他人在執行該文件時，可以臨時獲取到該文件的擁有者許可權。以/usr/bin/passwd文件為例：

passwd文件許可權

s出現在了擁有者的x許可權位置，表示該文件有SUID許可權，且其他人對該文件有x許可權。由於SUID許可權的存在，所以其他人在執行passwd命令時，會臨時獲取到root(擁有者是root)許可權，進而可以對/etc/shadow文件進行寫入操作。這也是為什麼普通用戶也能用passwd命令修改自己密碼的緣故。

參考命令：

chmod u+s /script/setdns    #為文件setdns文件賦於SUID許可權
chmod u-s /script/setdns     #取消SUID許可權

3、SGID(Set GID)：對二進位文件和目錄都有效，一個文件如果有SGID許可權，那麼其他人在執行該文件時，可以臨時獲取到該文件所屬組的許可權。一個目錄如果有SGID許可權，那麼在該目錄下創建的文件、目錄會繼承父目錄的所屬組信息。以根下的一個work目錄為例：

work目錄許可權

s出現在了目錄所屬組的x許可權位置，表示該目錄有SGID許可權。由於SGID許可權的存在，任何用戶在該目錄下創建的文件、目錄的所屬組都會是sindy組。

參考命令：

chmod g+s /work    #為work目錄賦於SGID許可權
chmod g-s /work     #取消SGID許可權